「生成AIは犯罪の役に立つのか?」 ダークWebの中でも意見分かれる:セキュリティニュースアラート
ソフォスによると、サイバー攻撃者はChatGPTをはじめとした生成AIを悪用して高度かつ大規模な詐欺を実行できる可能性があるという。同社は一方で多くのサイバー攻撃者がAIに懐疑的であることを示す調査も公開した。
ソフォスは2023年12月12日、サイバー犯罪のAI(人工知能)利用に関する2つのレポートを公開した。
この2つのレポートによると、攻撃者は「ChatGPT」のような生成AIツールを活用することで最小限のスキルで大規模な詐欺を実行しているという。しかし同調査から、一部のサイバー攻撃者は大規模言語モデル(LLM)を受け入れておらず、サイバー攻撃にAIを使うことに懐疑的で懸念を抱いていることも分かった。
生成AIはサイバー攻撃の“役に立つのか”? 攻撃者間でも議論は活発化
ソフォスが公開したレポートは「The Dark Side of AI: Large-Scale Scam Campaigns Made Possible by Generative AI」と「Cybercriminals can’t agree on GPTs」の2種類だ。
「The Dark Side of AI: Large-Scale Scam Campaigns Made Possible by Generative AI」でセキュリティ専門家組織Sophos X-Opsが調査したところによると、簡易eコマース用テンプレートと「GPT-4」といったLLMを使用すれば、偽の画像生成や音声生成、商品説明生成、「Facebook」のログインページ生成、チェックアウトページ生成を行わせて完全に動作するWebサイトを構築し、ユーザーアカウント情報およびクレジットカード情報を窃取できるという。Sophos X-Opsは実際にこの実験を成功させ、簡単な操作で数百もの同様のWebサイトを数分で作成した。
ソフォスのベン・ゲルマン氏(シニアデータサイエンティスト)は「犯罪者が攻撃を自動化するために新しいテクノロジーを取り入れようとするのは必然的であり、予想されてきたことだ。独自性のあるスパムメールを作成するテクノロジーは、詐欺の大規模化に直結しており、大きな変化をもたらしている。標的のユーザーをおびき寄せるためにAIが生成したテキストや写真などが使用されており、古典的な詐欺の一部の要素に生成AIがすでに利用されている」とコメントした。
「Cybercriminals can’t agree on GPTs」によると、Sophos X-OpsはLLM関連の議論が活発に交わされている4つのダークWebフォーラムを調査した。
これによると、ダークWebに集まっているサイバー攻撃者たちは、ソーシャルエンジニアリングにおけるAI利用の可能性や窃取したChatGPTアカウントの販売、LLMの保護機能を回避する方法などについて議論していたという。
また、Sophos X-Opsは、サイバー攻撃やマルウェアの開発に使用できる可能性があるChatGPTの亜種も10個発見した。しかし、これらの亜種やその他のLLMの利用方法に対するサイバー攻撃者の反応はまちまちであり、多くの犯罪者はChatGPTを模倣した生成AIのクリエイターが彼らをだまそうとしているのではないかと懸念を示していた。
Sophos X-Opsのクリストファー・バッド氏(リサーチ担当ディレクター)は「ChatGPTが公開されてから、サイバー攻撃者によるAIやLLMの悪用についての懸念が広がっている。しかしソフォスの調査によると、今のところ、サイバー攻撃者は生成AIの利用について積極的というよりは懐疑的だ。当社が調査したダークWebの4つのフォーラムのうち2つでは、AIに関する投稿は100件しか見つからなかった。暗号資産に関する投稿は同じ期間に1000件あったことから、これは決して多い数ではない。少なくとも今のところは、サイバー攻撃者も私たちと同じようにLLMについて議論している段階と言えるだろう」と語った。
関連記事
- バックアップシステム刷新事例 ジヤトコがVeeamを導入してTCOを40%削減
ジヤトコはバックアップシステムを再構築するプロジェクトで、Veeam Data PlatformのFoundation Editionを採用した。データ量の増加に伴うシステムやサービスのサイジング、投資計画への影響が課題となっていた。 - サイバー攻撃者はなぜギャンブル業界を狙うのか? お金だけじゃないその理由
サイバー攻撃者は近年、ギャンブル業界を標的にしたランサムウェア攻撃を仕掛ける傾向にある。一体なぜこの業界が狙われているのか。理由は金銭だけではないようだ。 - サイバーレジリエンスを俯瞰しよう 310ページに及ぶNIST資料を分かりやすく解説
“サイバーレジリエンス”と一口に言っても、その目的や実現するための手法はさまざまで全体像をつかむのも一苦労です。そんな皆さんの悩みを解消するため、筆者が310ページに及ぶドキュメントをかみ砕いて解説します。 - ITシステムは“転んだとき”のことを考えよう DXとセキュリティは両輪で進めよ
最近はITに詳しくない人でも「ランサムウェア」という言葉を聞く機会は少なくないでしょう。ここまでサイバー攻撃が身近になった今、従来の侵入を防ぐセキュリティ対策だけでは不十分だと筆者は言います。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.